Platform
go
Component
github.com/patrickhener/goshs
Opgelost in
2.0.1
1.1.5
goshs, een SimpleHTTPServer geschreven in Go, handhaafde de gedocumenteerde per-folder .goshs ACL/basic-auth mechanisme voor directory listings en file reads, maar niet voor state-changing routes. Dit stelde aanvallers in staat om bestanden te uploaden, directories te maken en bestanden te verwijderen binnen een .goshs-beschermde directory. Deze kwetsbaarheid is verholpen in versie 2.0.0-beta.4.
De kwetsbaarheid CVE-2026-40189 in goshs stelt een niet-geauthenticeerde aanvaller in staat om staatveranderende acties uit te voeren binnen directories die beschermd worden door een .goshs-bestand. Hoewel goshs correct basisauthenticatie en ACL's (Access Control Lists) implementeert voor directory-lijsten en bestandslezen, worden deze beperkingen niet toegepast op routes die de status van de server wijzigen, zoals het uploaden van bestanden (PUT, multipart POST /upload), het maken van directories (?mkdir) en het verwijderen van bestanden (?delete). De ernst van deze kwetsbaarheid wordt beoordeeld als 9,8 op de CVSS-schaal, wat een kritiek risico aangeeft. Een aanvaller kan de integriteit van de gegevens die op de goshs-server zijn opgeslagen, in gevaar brengen en door het zelf verwijderen van het .goshs-bestand de bescherming van de directory volledig uitschakelen.
Een aanvaller kan deze kwetsbaarheid uitbuiten als hij netwerktoegang heeft tot de plaats waar goshs draait. Het vereist geen voorafgaande authenticatie, omdat autorisatievalidatie ontbreekt in staatveranderende routes. De aanvaller kan standaardtools zoals curl of wget gebruiken om PUT- , POST- en DELETE-verzoeken te verzenden met de vereiste parameters om bestanden en directories te uploaden, te maken of te verwijderen. Het verwijderen van het .goshs-bestand is een bijzonder gevaarlijke actie, omdat het de bescherming van de directory uitschakelt en de aanvaller in staat stelt om elke operatie zonder beperkingen uit te voeren. De eenvoud van uitbuiting en de potentiële impact maken deze kwetsbaarheid tot een aanzienlijke bedreiging.
Organizations using goshs for directory listing and file serving, particularly those relying on the .goshs file for authentication, are at risk. Shared hosting environments where multiple users share a goshs instance are especially vulnerable, as an attacker could potentially compromise the entire hosting environment.
• linux / server:
journalctl -u goshs -g 'file upload' | grep -i unauthorized• generic web:
curl -I <goshs_endpoint>/?delete
curl -I <goshs_endpoint>/upload• generic web:
grep -i 'unauthorized access' <access_logs>disclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-40189 is het updaten van goshs naar versie 2.0.0-beta.4 of hoger. Deze versie corrigeert het gebrek aan autorisatievalidatie in staatveranderende routes. Totdat de update is uitgevoerd, wordt het aanbevolen om tijdelijk de upload-, creatie- en verwijderfuncties binnen directories die beschermd worden door .goshs uit te schakelen. Het is ook cruciaal om de beveiligingsbeleidsregels van de server te beoordelen en te versterken, inclusief de configuratie van firewalls en intrusion detection systems om verdachte activiteiten te monitoren en te blokkeren. De update moet zo snel mogelijk worden uitgevoerd om het risico op uitbuiting te minimaliseren.
Actualice goshs a la versión 2.0.0-beta.4 o superior para mitigar la vulnerabilidad de bypass de autorización. Esta actualización implementa las comprobaciones de autorización necesarias para las rutas que modifican el estado, previniendo la subida no autorizada de archivos, la creación de directorios y la eliminación de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
goshs is een eenvoudige en veilige bestandsserver die het delen van bestanden via een webinterface mogelijk maakt.
Deze versie corrigeert de CVE-2026-40189-kwetsbaarheid, waardoor niet-geauthenticeerde aanvallers bestanden en directories kunnen wijzigen.
Schakel tijdelijk de upload-, creatie- en verwijderfuncties uit in directories die beschermd worden door .goshs.
Als u een versie gebruikt die vóór 2.0.0-beta.4 is, is de kans groot dat u kwetsbaar bent.
Beoordeel en versterk de beveiligingsbeleidsregels van de server, inclusief firewalls en intrusion detection systems.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.